Risque
- Déni de service à distance ;
- exécution de code arbitraire à distance.
Systèmes affectés
Safari 4.0.5 pour Microsoft Windows.
Résumé
Une vulnérabilité non-corrigée dans Safari permet à un utilisateur distant malintentionné de provoquer un déni de service ou, potentiellement, d'exécuter du code arbitraire.
Description
Une vulnérabilité non-corrigée relative à la gestion des fenêtres est présente dans le navigateur Safari de Apple. Celle-ci est due à la façon dont Safari gère la fermeture des fenêtres de type pop-up et permet à un utilisateur distant malintentionné de provoquer un déni de service de l'application vulnérable ou d'exécuter du code arbitraire.
Remarque n°1 :
Pour que l'exploitation de la vulnérabilité fonctionne, il est nécessaire que l'option Bloquer les fenêtres surgissantes soit désactivée. Ceci n'est pas le cas dans la configuration par défaut du navigateur.Remarque n°2 :
La vulnérabilité est confirmée pour la version 4.0.5 sous Microsoft Windows mais, compte tenu sa nature, il est possible que la version pour Mac OS X soit également concernée.Solution
Version obsolète du navigateur, mettre à jour le logiciel.
Documentation
- Référence CVE CVE-2010-1939 :
https://www.cve.org/CVERecord?id=CVE-2010-1939